(19) 



J 




(12) 



Europaisches Patentamt 
European Patent Office 
Off ice europeen des brevets (11) EP 0 790 587 A1 

DEMANDE DE BREVET EUROPEEN 



(43) Date cle publication: 

20.08.1997 Bulletin 1997/34 

(21) Numero de ctepdt: 97200344.6 

(22) Date de depot: 07.02.1997 



(51) Intel 6 : G07F7/08, H04M 17/00 



(84) Etats contractants designes: 
DE FR GB IT 

(30) Priority 14.02.1996 FR 9601815 

(71) Demandeur: Philips Electronics N.V. 
5621 BA Eindhoven (NL) 



(72) Inventeurs: 

• Gasparini, Stephane 
75008 Paris (FR) 

• Geffrotin, Bernard 
75008 Paris (FR) 

(74) Mandataire; Chaffraix, Jean 
Soci6t6 Civile S.P.I.D. 
156, Boulevard Haussmann 
75008 Paris (FR) 



(54) Systeme de transmission comportant des dispositifs terminaux munis d'un circuit de 

prepaiement, dispositif terminal convenant a un tel systeme et procede mis en oeuvre dans 
un tel systeme 



(57) Ce systeme de transmission comporte une plu- 
rality de dispositifs terminaux (1, 36, 37) munis d'au 
moins un circuit connectable (30) dans lequel est pr6- 
vue une information de prepaiement. Les dispositfs ter- 
minaux (1, 36, 37) comportent des moyens pour 
modifier directement ladite information de prepaiement 
en fonction de la communication. En outre, il a ete pr£vu 
des moyens de protection pour proteger ces informa- 
tions relatives & ce prepaiement. Ainsi, on peut utiliser 
dans des reseaux GSM ou similaires des cartes de pre- 
paiement. 

Application : reseaux GSM ou similaires. 
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Description 

L'invention concerne un systeme de transmission 
comportant une pluralite de dispositifs terminaux pour 
permettre des communications, munis d'au moins un 5 
circuit connectable dans lequel est prevue une informa- 
tion de prepaiement et des moyens pour modifier direc- 
tement ladite information de prepaiement en fonction de 
ta communication. 

L'invention concerne aussi un procede de prSpaie- 10 
ment mis en oeuvre dans le systeme ci-dessus et un 
dispositif terminal convenant k un tel systeme. 

Le principe fondamental de ce genre de reseau de 
type GSM est que tous les dispositifs ci-dessus men- 
tionnes sont banalises initialement. La personnalisation is 
du dispositif au profit d'un usager se fait ensuite au 
moyen du circuit connectable constitue generalement 
par une carte k puce appelee SIM ou Micro-SIM qui, 
une fois inseree dans le dispositif terminal, permet 
('identification et I'authentification de I'usager vis-&-vis 20 
du reseau. 

L'obtention d'une carte SIM se fait par un proces- 
sus d'abonnemerrt aupres d'une society de commercia- 
lisation (SCS) qui se charge de la gestion de I'abonne 
pour le compte de I'operateur du reseau. Outre Tabon- 25 
nement, la SCS gere egalement les operations de fac- 
turation a partir des informations transmises par 
I'operateur. 

Ces operations de gestion sont relativement coG- 
teuses. De plus, il existe un risque financier non negli- 30 
geable, certains abonnes "omettant" de payer leur 
factures. 

Pour ces raisons, il apparaTt inter essant aux opera- 
teurs et aux SCS d'introduire un service reseau pre- 
paye, k ('image de la telecarte en usage pour les 35 
cabines telephoniques courantes. Une carte SIM de 
type prepaiement permet des communications corres- 
pondant a un montant ou k un nombre d'unites donnes. 
Ce concept apporte plusieurs avantages : 

40 

simplification du processus de distribution des car- 
tes SIM, 

plus d'enregistrement d'abonnement, 
pas d'operation de facturation, 

frais de gestion moindre, 45 
avance de tresorerie. 

II est connu du document de brevet PCT WO 
95/28062 un systeme de prepaiement du genre men- 
tionne ci-dessus. Cependant ce systeme presente so 
( inconvenient que, notamment, le circuit connectable 
est vulnerable de sorte que son contenu peut etre modi- 
fie par des manoeuvres frauduleuses et aussi que les 
echanges dinformations entre ce circuit et le dispositif 
terminal peuvent etre interceptes par des personnes 55 
malveillantes ce qui leur donne des moyens pour des 
tentatives de f raudes. 

La presente invention propose un systeme du 
genre mentionne dans le preambule qui ne presente 



pas les inconvenients precites. 

Pour cela, un systeme du genre mentionne dans le 
preambule est remarquable en ce que les dispositifs 
terminaux comportent des moyens de protection pour 
assurer I'integrite des informations relatives au prepaie- 
ment. 

L'idee de l'invention consiste a proteger toute I'infor- 
mation concernant les informations de prepaiement de 
sorte qu'il est pratiquement impossible pour un fraudeur 
de tricher sur le cout de ses communications. 

Une caracterisique de l'invention selon laquelle le 
systeme du genre precite dans lequel les dispositifs ter- 
minaux fonctionnent k I'aide d'informations de fonction- 
nement emmagasinees dans une memoire est 
remarquable en ce que lesdits moyens de protection 
sont formes par des moyens de detections de I'integrite 
desdites informations de fonctionnement, donne une 
bonne certitude que ces informations n'ont pas £te alte- 
rees par un fraudeur. 

Une autre caracterisique de l'invention selon 
laquelle lesdits moyens de protection sont formes par 
des moyens d'authentification du dispositif terminal par 
le circuit connectable pour permettre la communication 
lorsque I'authentification est reconnue permet d'eviter 
qu'un fraudeur eventuel mette un autre circuit connecta- 
ble qui Tavantagerait en ce qui concerne le cout des 
communications. 

La description suivante faite en regard des dessins 
ci-annexes, le tout donne & titre d'exemple non limitatif, 
fera bien comprendre comment l'invention peut etre rea- 
lisee. 

La figure 1 montre un systeme conforme a l'inven- 
tion. 

La figure 2 montre un dispositif terminal de radio 
portable convenant au systeme de la figure 1 . 
La figure 3 montre un premier organigramme des- 
tine a ['explication du fonctionnement du systeme 
de l'invention. 

La figure 4 montre un deuxieme organigramme 
destine k ('explication du fonctionnement du sys- 
teme de Tinvention. 

La figure 5 montre un troisieme organigramme des- 
tine a I'explication du fonctionnement du systeme 
de l'invention. 

La figure 6 montre un quatrieme organigramme 
destine k I'explication du fonctionnement du sys- 
teme de ('invention. 

A la figure 1, le systeme montre comporte un pre- 
mier dispositif terminal de radio portant la reference 1 . 
Ce dispositif est muni d'une antenne 5 qui lui permet de 
recevoir et d'emettre des ondes vers une station de rac- 
cordement 8 d'un reseau radioeiectrique du genre 
GSM. Le dispositif 1 comporte un ecouteur 10. un 
microphone 12, un clavier 15 et un ecran de visualisa- 
tion i 17 : Les pointilies represented une partie eiectroni- 
que 20 situee k Tinterieur du dispositif. Selon les 
normes du GSM (l-ETS 300 045-1 ou ETS30), il est 
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prevu une carte SIM de format ISO ou de format dit 
"plug in" ou micro SIM qui porte sur la figure 1, la refe- 
rence 30. Cette carte est pourvue d'un connecteur 31 
qui peut venir en contact avec un autre contact 35 fai- 
sant partie du dispositif 1 . Cet autre contact 35 est mon- 5 
tr6 sur la figure 2. Le systeme de la figure 1 comporte 
aussi d'autres dispositifs 36 et 37 dont la structure peut 
done §tre semblable k celle du dispositif 1 . 

Sur la figure 2, qui detaille la structure du dispositif 
1 , les elements communs avec ceux de la figure 1 por- 10 
tent les memes references. II detaille la structure de la 
partie electronique 20. 

Cette partie 20 comprend un ensemble d'emission 
40 et un ensemble de reception 42 pour emettre et pour 
recevoir differentes informations usuelles dans la tech- is 
nique GSM, notamment celles provenant du micro- 
phone 12 et celles qui concernent Tecouteur 10. Un 
ensemble k microprocesseur 50 assure la gestion des 
elements suivants : les parties emission et reception 40 
et 42, le clavier 15 I'ecran de visualisation 17 et 20 
I'echange d'informations avec le module SIM 30 via les 
connecteurs 35 et 31. Cet ensemble 50 comporte 
notamment une m6moire vive 55 de type EPROM de 
preference, destinee k contenir des informations de 
prepaiement. 25 

Selon I'invention, on souhaite que le systeme per- 
mette la facturation des communications sur la carte 
SIM. 

Pour cela, un tel systeme doit satisfaire aux exigen- 
ces suivantes : 30 

les cartes SIM doivent §tre debitees pour un mon- 
tant correspondant au service fourni (exactitude du 
calcul de taxe), 

il n'est pas possible qu'un usager obtienne le ser- 35 
vice sans etre debite des unites correspondantes 
(pas de fraude). 

Principes de base de I'invention : j 

40 

la carte SIM est prechargee avec des unites, cette 
carte SIM pouvant etre recharg^e ou non a epuise- 
ment du solde, 

le dispositif terminal a la charge du debit de la carte 
SIM, 45 
la carte SIM ne peut etre utilisee sur un reseau quk 
la condition qu'elle soit inseree dans un dispositif 
terminal capable de la debiter, 
le dispositif terminal contient un processeur secu- 
rise qui assure I'execution des fonctions logicielles so 
du dispositif terminal, ainsi que le deroulement 
dans un environnement protege des algorithmes 
necessaires au prepaiement, 
le processeur securise est capable de verifier I'inte- 
grite du logiciel du dispositif terminal et d'en inter- ss 
dire le fonctionnement en cas de modification, 
un protocole cryptographique permet d'etablir une 
liaison securisee entre le dispositif terminal et la 
carte SIM, 



le solde initial de la carte SIM, protege cryptogra- 
phiquement contre une eventuelle falsification, est 
lu par le dispositif terminal, 

le dispositif terminal peut s'assurer de I'authenticite 
du solde de la carte SIM et interdire la communica- 
tion en cas de solde insuffisant. 
le dispositif terminal calcule le debit du SIM, soit sur 
des informations de tarrfication transmises par le 
reseau en d6but de communication, soit preinitiali- 
sees sous forme de tables, 

les instructions de debit adressees par le dispositif 
terminal k la carte SIM sont protegees cryptogra- 
phiquement contre une eventuelle falsification, 
le debit de la carte SIM peut §tre controle grace au 
solde de la carte SIM protege cryptographiquement 
contre une eventuelle falsification, 
le processeur securise du dispositif terminal assure 
lui-meme la verification cryptographique du debit 
effectif du SIM, 

le dispositif terminal rompt la communication lors- 
que le solde de la carte SIM est epuise. 

Les figures 3 et suivantes montrent le fonctionne- 
ment d'un tel systeme qui satisfait dans une bonne 
mesure aux exigences precitees. 

Ce fonctionnement est divise en quatre phases 
representees respectivement par des organigrammes 
montres aux figures 3 et suivantes. Ces differents orga- 
nigrammes sont composes de deux parties : 

une partie TERM relative au fonctionnement du dis- 
positif terminal 1 et 

une partie SMC relative, elle, k la carte a puce 30. 

La phase montree a la figure 3 commence a la case 
K0 qui indique la mise sous tension du dispositif termi- 
nal, une premiere operation consiste k verifier l'int§grit£ 
du logiciel du dispositif terminal (voir case K2). Ceci est 
decrit dans la demande de brevet frangais n° 96 01 478 
d^posee le 7 fevrier 1 996 au nom de la demanderesse. 
Si le test qui suit (case K5) indique que le logiciel a et£ 
corrompu, on va alors a la case K6 qui indique I'arret du 
dispositif terminal 1. Si le logiciel est intact, on peut 
alors demarrer une operation d'authentification du dis- 
positif terminal par la carte SIM pour s'assurer que le 
dispositif terminal est capable de gerer le debit des uni- 
tes de communication. Celle ci se fait par un m£ca- 
nisme "challenge/response". 

Pour cela, on lance un ordre de mise en route (case 
K10) vers la carte SIM 30. La carte SIM se met alors en 
route (case L0). Apres la mise sous tension du SIM, le 
dispositif terminal transmet ensuite, case K12, une 
demande de nombre aleatoire k la carte SIM. Celle-ci 
regoit cette demande et fournit en reponse un nombre 
aleatoire As (case L2). Le dispositif terminal elabore au 
moyen d'un algorithme de cryptage impliquant une cle 
Ks et un nombre S qui est transmis k la carte SIM (case 
K14). La carte effectue une operation sur le nombre S 
regu. Cette operation est definie par I'algorithme de 
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cryptage, note par Ag(Kv,S) k la case L4. Si I'algorithme 
implique le procede de codage RSA, deux cles sont uti- 
lises : Ks et Kv. Ces cles peuvent etre identiques si on 
utilise un procede symetrique tel que le DES. Les deux 
nombres AS et AS* peuvent §tre alors compares par la 5 
carte, case L6. Si la comparaison indique une discor- 
dance le processus est alors stoppe (case LB), La carte 
est bloquee jusqu'& la prochaine mise sous tension. 

L'etape suivante consiste classiquement k faire 
authentifier le SIM par le reseau ; c'est une procedure 10 
standard de la norme GSM qui utilise I'algorithme dit 
A3A8 (decrit dans les normes GSM), ceci est repre- 
sents a la case L10 par AgA3A8(..), et la c!e Ki du SIM. 
II est a noter que si I'authentification du dispositif termi- 
nal par la carte SIM ne s est pas terminee correctement, 15 
le traitement de la reconnaissance du SIM par le reseau 
ne pourra pas se derouler, et par consequent le reseau 
rejettera la connexion de ce mobile incapable de debiter 
le SIM. Pour cela, le dispositif terminal envoie un nom- 
bre aieatoire Ar a la carte (case K18), la carte calcule 20 
alors un nombre R en fonction de I'algorithme A3A8 et 
de la cle Ki comme cela vient d'etre dit. Ce nombre est 
transmis au dispositif terminal qui I'envoie dans le 
reseau (case K20). C'est au niveau de la station de rac- 
cordement 8, par exemple que Ton decide si le dispositif 25 
terminal est accepte ou rejete. 

La phase 2 montree k la figure 4 est une phase 
pour I'etablissement d'une cle de session aieatoire des- 
tinee a proteger les echanges dispositif terminal-carte 
SIM. Le dispositif terminal gen ere Line cle de session 30 
aieatoire Ks (case 30). Le chiffrement de cette cle est 
effectue avec un algorithme du type RSA par exemple, 
(case K32). On utilise une cle Kenc obtenir un message 
C qui est transmis au SIM avec une demande de gene- 
ration de cle de session (case K33). La carte SIM 35 
dechiffre le message C avec I'algorithme RSA et sa cie 
Kdec et memorise la cle Ks obtenue (case L20). 
Note : une implantation equivalente pourrait etre basee 
sur un algorithme symetrique tel I'algorithme DES. 
Dans ce cas, les cles Kenc et Kdec seraient identiques. 40 

La phase 3 est la phase qui a trait k i'obtention des 
parametres de communication et de \k[ qui doit verifier 
si le solde d'unites contenu dans la carte est suffisant 
pour que la communication soit etablie. Cette phase est 
explicitee a la figure 5. 45 

Apres le debut de communication (case K40) on 
obtient, k partir de I'operateur gestionnaire du reseau, 
ou k partir d'une table prechargee dans le terminal, des 
parametres de tarification. Ceci est indique a la case 
K42. On demarre ensuite une procedure Prd qui permet so 
de r^cuperer le solde de la carte avec toutes les garan- 
ties de security. Cette procedure est d6clenchee a par- 
tir de la generation d'un alea Ac (case K44) qui est joint 
a la demande de solde Sid ? (case K46). La carte SIM 
calcule alors un certificat appele MAC sur la valeur Ac 55 
et le solde de la maniere suivante : 
m1=Alg D (Ac, Ks) Ks etant la cle de session etablie 
prec6demment, 



m2=Alg D (Solde © ml. Ks) 

ou © represente I'operateur Ou exclusif et 
Alg D un algorithme quelconque notamment 
I'algorithme DES Ms=les 4 octets de poids fort du resul- 
tat m2, constituant le MAC. Ceci est represents a la 
case L30. Puis la carte SIM genere un alea Ad qui sera 
utilise pour les demandes de debit ulterieures (case 
L32). Etfinalement, elle transmet au dispositif terminal : 
Sld(le Solde), Ms et le nouvel alea Ad (case L33). 
Le dispositif terminal, a fa reception du Solde et de Ms 
en verifie I'integrite en recalculant : 
m1'=Alg D (Ac, Ks) a partir des valeurs Ac et Ks qu'il a 
lui-meme etablies, 

m2'=Alg D (Solde e ml, Ks) k partir du Solde transmis 
par le SIM Ms'=les 4 octets de poids fort de m2\ 
Ceci est indique a la case K48. Puis a la case K50 on 
teste I'egalite de Ms' et Ms. Cette egalite prouve I'inte- 
grite de la valeur du Solde regue du SIM. Si cette egalite 
est fausse, alors la communication est interrompue 
(case K51). Ceci laisse, en effet, presager une tentative 
de fraude qui doit entraTner une impossibility d'etablir la 
communication. Puis, on calcule (case K52) Tunite de 
debit Db a imputer k partir des parametres regus selon 
la case K42. La comparaison de ce solde Db a la valeur 
de taxation minimum (case K54) permet de decider 
d'etablir ou non la communication. Si on interrompt la 
communication, on va a la case K55. Si on continue, on 
va k la case K56 qui indique ('affectation d'une variable 
OSLD. Cette variable est destinee k contenir la valeur 
du solde provenant de la carte. 

Le dispositif terminal memorise I'aiea Ad regu du SIM 
pour I'utiliser dans sa prochaine demande de debit. 

La phase 4 dont I'organigramme est montre a la 
figure 6 montre le debit qui s'impute sur la carte, lors 
d'une communication. Cette phase se decienche des 
qu'une taxe doit etre imputee case K60. Ceci est 
decienche, par exemple periodiquement, par le disposi- 
tif terminal qui provoque I'imputation d'une unite de 
debit Db. L'operation de debit est protegee par un certi- 
ficat (un MAC) explicite & la case K62. La demande de 
debit est alors envoy ee, case K64, a la carte SIM. La k 
partir de la cle Ks seiectionnee (case L50), on deter- 
mine un certificat Md' (case L51 ) et on le compare (case 
L55) avec le certificat Md transmis depuis le dispositif 
terminal. Si la comparaison est defavorable la carte SIM 
est alors mise dans un etat de blocage (case L56). Si la 
comparaison est favorable, on passe alors a la case L60 
ou est indiquee l'operation de nouveau solde. II convient 
de verifier que le nouveau solde soit positif ce qui est 
fait a la case L62. Si le solde est negatif, on bloque la 
carte (case L63). Si le solde est positif aucune autre 
operation n est executee. La carte se declare OK (case 
L65), ce qui est transmis au dispositif terminal. 

II est possible alors, pour le dispositif terminal, de 
verifier si la carte SIM est valide ou non en testant cette 
declaration (case K65). Si la carte SIM est bloquee il n'y 
a pas de declaration OK. la communication est coupee 
(case K66). Si elle est valide, on continue le processus 
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en effectuant la procedure Prd qui permet de recuperer 
ta valeur du solde. La verification de la reality du debit 
est executee (case K70) et la variable OSLD est mise & 
jour case K75. Si la varrf ication indique que le debit n'a 
pas ete effectue, ta communication est coupee (case 
K71). 

L'invention trouve d'autres applications que les 
reseaux de type GSM, notamment : les reseaux de tele- 
phone, de transmission de donnees de type DCS 1800, 
les terminaux de telephonie mobiles ou fixes (Publipho- 
nes), fax, terminaux de transmission de donnees ou 
d'images et aussi terminaux utilises dans des environ- 
nements non securises et non surveilles. 

Revendications 

1. Systeme de transmission comportant une plurality 
de dispositifs terminaux pour permettre des com- 
munications, munis d'au moins un circuit connecta- 
ble dans lequel est prevue une information de 
prepaiement et des moyens pour modifier directe- 
ment ladite information de prepaiement en fonction 
de la communication, caracterise en ce que les dis- 
positifs terminaux comportent des moyens de pro- 
tection pour assurer I'integrite des informations 
relatives au prepaiement. 

2. Systeme selon la revendication 1 comprenant une 
station de raccordement rattachant des dispositifs 
terminaux caracterise en ce que ('information de 
taxation est determinee au niveau de ladite station 
de raccordement. 

3. Systeme selon la revendication 1 caracterise en ce 
que ('information de taxation est determinee au 
niveau de chaque dispositif terminal par une table 
contenue dans une memoire. 

4. Systeme selon au moins Tune des revendications 1 
& 3, dans lequel les dispositifs terminaux fonction- 
nent k I'aide d'informations de fonctionnement 
emmagasinees dans une memoire, caracterise en 
ce que lesdits moyens de protections sont formes 
par des moyens de detections de I'integrite desdi- 
tes informations de fonctionnement. 

5. Systeme selon au moins Tune des revendications 
precederrtes, caracterise en ce que lesdits moyens 
de protections sont formes par des moyens 
d authentification du dispositif terminal par le circuit 
connectable pour permettre la communication lors- 
que I'authentification est reconnue. 

6. Systeme selon au moins I'une des revendications 
precedentes, caracterise en ce que lesdits moyens 
de protections sont formes par des moyens de pro- 
tection d'echanges d'informations entre le dispositif 
terminal et le circuit connectable. 



7. Dispositif terminal permettant d'echanger des com- 
munications, muni d'au moins un circuit connecta- 
ble dans lequel est prevue une information de 
prepaiement relative aux communications et des 

5 moyens pour modifier directement ladite informa- 

tion de prepaiement en fonction de la communica- 
tion, caracterise en ce qu'il comporte des moyens 
de protection pour assurer I'integrite des informa- 
tions relatives au prepaiement. 

w 

8. Dispositif terminal selon la revendication 7, dont le 
fonctionnement est determine a I'aide d'informa- 
tions de fonctionnement emmagasinees dans une 
memoire, caracterise en ce que lesdits moyens de 

15 protection sont formes par des moyens de detec- 
tion de I'integrite desdites informations de fonction- 
nement. 

9. Dispositif terminal selon Tune des revendications 7 
20 ou 8, caracterise en ce que lesdits moyens de pro- 
tection sont formes par des moyens d'authentif ica- 
tion du dispositif terminal par le circuit connectable 
pour permettre la communication lorsque I'authen- 
tification est reconnue. 

25 

10. Dispositif terminal selon au moins I'une des reven- 
dications 7 a 9, caracterise en ce que lesdits 
moyens de protection sont formes par des moyens 
de protection d'echanges d'informations entre le 

30 dispositif terminal et le circuit connectable. 

1 1 . Procede de prepaiement pour un systeme de trans- 
mission comprenant une pluralite de dispositifs ter- 
minaux dans lesquels est insere un circuit 

35 connectable de type prepaiement contenant une 
information de prepaiement pour def inir un certain 
solde et dont le fonctionnement est defini & I'aide 
d'un logiciel, methode comprenant les phases sui- 
vantes : 

40 

une phase de demarrage pendant laquelle : 

on verifie I'integrite du logiciel de fonction- 
nement du dispositif terminal, 
45 on verifie le type du circuit connectable, 

une phase de transmission de cie depuis le dis- 
positif terminal vers le circuit connectable, 
une phase d'etablissement de connexion pen- 
so dant laquelle le solde contenu dans le circuit 

connectable est compare avec une taxe mini- 
male k imputer, 

une phase de debit durant la connexion, pen- 
dant laquelle le contenu du solde est debite. 

55 

12. Procede de prepaiement selon la revendication 
precedente, caracterise en ce que periodiquement 
reformation de prepaiement est debitee d'une 
unite de debit. 
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